SóProvas


ID
3356773
Banca
CESPE / CEBRASPE
Órgão
TJ-PA
Ano
2020
Provas
Disciplina
Segurança da Informação
Assuntos

Conforme a NBR ISO/IEC 27001, implementar e operar um sistema de gestão de segurança da informação (SGSI) no processo PDCA envolve o requisito

Alternativas
Comentários
  • Assertiva D

    O relatório de análise de risco deve conter identificação e classificação de ativos e processos de negócio, análise de ameaças e vulnerabilidades, e análise e parametrização de riscos e definição de tratamento dos riscos.

    elaborar o plano de tratamento dos riscos, identificando-se as ações de gestão apropriadas, os recursos a serem utilizados e as responsabilidades para a gestão dos riscos em segurança da informação.

  • Elaborar um plano de tratamento de riscos.......
  • ISO 27001/2006

    4 Sistema de gestão de segurança da informação

    4.2 Estabelecendo e gerenciando o SGSI

    4.2.2 Implementar e operar o SGSI

    b) Implementar o plano de tratamento de riscos para alcançar os objetivos de controle identificados, que inclua considerações de financiamentos e atribuição de papéis e responsabilidades.

  • ISO 27001/2013

    a) Planejamento (Plan)

    6.1.2 Avaliação de riscos de segurança da informação

    A organização deve definir e aplicar um processo de avaliação de riscos de segurança da informação;

    b) Checar/monitorar (Check).

    9.1 Monitoramento, medição, análise e avaliação

    A organização deve avaliar o desempenho da segurança da informação e a eficácia do sistema de gestão da segurança da informação

    c) Não achei o ponto exato mas acredito que possa ter relação com Planejamento e Ação

    5 Liderança e 10 Melhoria

    d) Fazer (Do)

    8 Operação

    ...

    8.3 Tratamento de riscos de segurança da informação

    A organização deve implementar o plano de tratamento de riscos de segurança da informação. 

    e) Planejamento (Plan)

    5.3 Autoridades, responsabilidades e papéis organizacionais

    A Alta Direção deve assegurar que as responsabilidades e autoridades dos papéis relevantes para a segurança da informação sejam atribuidos e comunicados.

  • Complicado hein, no edital foi especificado que era a versão de 2005? A de 2013 não faz nenhuma menção ao PDCA.

    2005: The standard clearly states that it follows the PDCA (Plan-Do-Check-Act) model.

    2013: The standard does not specify any particular process model. The standard requires that a process of continual improvement is used.

    Fonte: www.itgovernance.co.uk/download/27001-update-reference-sheet.pdf

  • elaborar o plano de tratamento dos riscos, identificando-se as ações de gestão apropriadas, os recursos a serem utilizados e as responsabilidades para a gestão dos riscos em segurança da informação.

  • Bom Pessoal, como a pergunta se refere ao ciclo PDCA, temos na seção 6 da 27001 o tratamento de riscos.

    No entanto, temos na 27005 a especificação de como deve ser feito esse tratamento. É na 27005 que a norma cita o ciclo PDCA.

    Em um SGSI, a definição do contexto, o processo de avaliação de riscos, o desenvolvimento do plano de tratamento do risco e a aceitação do risco fazem parte da fase "planejar". Na fase "executar" do SGSI, as ações e controles necessários para reduzir os riscos para um nível aceitável são implementados de acordo com o plano de tratamento do risco. Na fase “verificar” do SGSI, os gestores determinarão a necessidade de revisão da avaliação e tratamento do risco à luz dos incidentes e mudanças nas circunstâncias. Na fase “agir”, as ações necessárias são executadas, incluindo a reaplicação do processo de gestão de riscos de segurança da informação.